Certik upptäckte och patchade en stor säkerhetsbrist i Wormhole-bryggan i Aptos-nätverket, vilket potentiellt kunde spara 5 miljoner dollar.
Denna sårbarhet kunde ha gjort det möjligt för en angripare att skapa falska tokenöverföringar, men Certik’s snabba åtgärd säkrade användarnas medel.
Aptos Wormhole Bridge 5 miljoner dollar säkerhetsbrist upptäckt
CertiK hittade felet i Wormhole-bryggan på Aptos och rapporterade det till Wormhole-teamet. Problemet berodde på en felaktig implementering av MOVE-programmeringsspråkets modifierare “public(friend)” och “entry”.
Modifieraren ‘public(friend)’ gör att funktioner kan anropas av andra inom samma modul eller av specificerade externa konton. Modifieraren “entry” däremot gör att vilket externt konto som helst kan anropa en funktion.
Bridgen hade en funktion som hette “publish_event”, avsedd att tillkännage händelser som tokenöverföringar. Denna funktion borde endast ha kunnat anropas av andra funktioner inom samma modul eller vissa specificerade externa enheter. Funktionen modifierades dock av både “public(friend)” och “entry”, vilket gjorde det möjligt för vem som helst att anropa “publish_event”, även om de inte var godkända.
Den här bristen kunde ha gjort det möjligt för en angripare att skapa falska transaktioner, som såg ut att flytta tokens från ett konto till ett annat utan att flytta faktiska tokens. Dessa falska händelser kunde ha fått Ethereum-versionen av bron att prägla eller låsa upp tokens utan verkliga insättningar som backade upp dem på Aptos-sidan, vilket potentiellt kunde dränera upp till 5 miljoner dollar.
Certik’s snabba åtgärder för att lappa och säkra Wormhole Bridge
Efter att ha upptäckt felet informerade Certik omedelbart Wormhole-teamet den 5 december 2023. Teamet utvecklade och testade en patch för att täppa till säkerhetsluckan. De informerade protokollets Guardians, som godkände patchen genom en omröstning med flera signaturer. Protokollets Aptos-kontrakt uppgraderades sedan, vilket säkrade bron. Denna process tog ungefär tre timmar.
Läs mer om detta: Crypto Scam-projekt: Hur man upptäcker falska tokens
Förutom att ta bort nyckelordet “entry” från publish_event-funktionen begränsade den nya patchen också “governor rate limits” på Aptos från 5 miljoner dollar till 1 miljon dollar. Detta strategiska drag syftade till att begränsa potentiella förluster från framtida exploateringar. Certik noterade att den nuvarande användningen ligger under 1 miljon dollar per dag, så hastighetsbegränsningen bör inte påverka de flesta användare.
“Den här fallstudien understryker inte bara den kritiska roll som proaktiva säkerhetsmetoder spelar, utan visar också hur programvara med öppen källkod kan höja säkerhets- och transparensstandarderna i Web3-världen”, tillägger CertiK.
Wormhole genomförde också en retrospektiv analys för att kontrollera om problemet påverkade några användares medel. Studien bekräftade att inga medel överfördes olagligt och att användarnas saldon förblev säkra.
Detta är inte första gången Wormhole står inför säkerhetsutmaningar. År 2022 förlorade bron över 321 miljoner dollar på grund av en bugg i Solana-delen av bron, vilket gjorde det möjligt för en angripare att mynta osäkrade tokens. Trots detta bakslag förbättrade Wormhole sin säkerhetspraxis och återkrävde 1 miljard dollar i totalt låst värde.
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
